DE19508722A1 - Lizenzkartengesteuertes Chipkartensystem - Google Patents

Lizenzkartengesteuertes Chipkartensystem

Info

Publication number
DE19508722A1
DE19508722A1 DE19508722A DE19508722A DE19508722A1 DE 19508722 A1 DE19508722 A1 DE 19508722A1 DE 19508722 A DE19508722 A DE 19508722A DE 19508722 A DE19508722 A DE 19508722A DE 19508722 A1 DE19508722 A1 DE 19508722A1
Authority
DE
Germany
Prior art keywords
chip card
user
aki
processor
chip
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE19508722A
Other languages
English (en)
Inventor
Markus Weinlaender
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE19508722A priority Critical patent/DE19508722A1/de
Priority to AT96904753T priority patent/ATE171000T1/de
Priority to PCT/DE1996/000422 priority patent/WO1996028793A2/de
Priority to DE59600545T priority patent/DE59600545D1/de
Priority to EP96904753A priority patent/EP0813722B1/de
Publication of DE19508722A1 publication Critical patent/DE19508722A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/22Payment schemes or models
    • G06Q20/229Hierarchy of users of accounts
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/355Personalisation of cards for use

Description

Chipkarten finden in stark steigendem Maße in unterschied­ lichsten Bereichen des täglichen Lebens Anwendung. Dement­ sprechend sind sehr große Mengen derselben im Umlauf. Üb­ licherweise sind eine Vielzahl von Maßnahmen vorgesehen, um nach der Ausgabe der Chipkarte, d. h. während der normalen Be­ nutzung, Vermögensschäden insbesondere für den jeweiligen Kartenbesitzer zu vermeiden. So muß z. B. nach einem Karten­ verlust zumindest eine unbefugten Benutzung der Karte durch beliebige Dritte verhindert werden.
Aufgrund der steigenden mengenmäßigen Verbreitung müssen aber auch Maßnahmen vorgesehen werden, um einerseits insbesondere größere Kartenmengen bereits vor deren einzelner Ausgabe an die Endkunden zu schützen, und andererseits die Menge der legal an Endkunden ausgegebenen bzw. z. B. pro Zeitraum oder einem an einen Lizenzgeber bzw. Dienstleistungsbereitsteller aktuell entrichteten Vergütungsbetrag maximal ausgebbaren Karten zu überwachen bzw. zu begrenzen.
So werden Karten z. B. in u. U. sehr großen Mengen von einem Kartenhersteller an einen Verteiler von Karten, z. B. an ein Geldinstitut geschickt. Dieser Weg ist vergleichbar mit dem Transport von größeren Geldmengen zwischen Banken, und somit entsprechend gefährdet. Ferner ist es vielfach wünschenswert, auch auf Seiten des Verteilers von Karten, die Anzahl der z. B. pro Angestellten an Endkunden herausgebbaren Karten genau zu überwachen, zu dokumentieren und zu begrenzen, um auch hierbei die Gefahr von Mißbrauch möglichst aus zu­ schließen. Da in der Regel mit der Abgabe einer Karte an einen Endkunden die Inanspruchnahme von Leistungen durch diesen ermöglicht wird, können durch Chipkarten, welche unter Umständen in erhöhter Menge unzulässigerweise in den Umlauf gebracht worden sind, erhebliche Vermögensschäden entstehen.
Der Erfindung liegt die Aufgabe zugrunde, ein Chipkartensy­ stem anzugeben, bei dem einerseits die Anzahl der in den Um­ lauf bringbaren Chipkarten genau beeinflußt werden kann, und bei dem andererseits die normale, volle Funktionalität einer jeden Chipkarte erst durch zusätzliche, insbesondere im Mo­ ment von deren Ausgabe an einen Endbenutzer auszuführende An­ passungen, herstellbar ist.
Die Aufgabe wird gelöst mit dem im Anspruch 1 angegebenen Chipkartensystem. Vorteilhafte weitere Ausgestaltungen des­ selben sind in den Unteransprüchen enthalten.
Die Erfindung und vorteilhafte weitere Ausgestaltungen des­ selben werden anhand der nachfolgend kurz angeführten Figuren näher erläutert. Dabei zeigt
Fig. 1 ein schematisches Strukturbild des erfindungsge­ mäßen Chipkartensystems, und
Fig. 2 eine bevorzugte Ausführungsform des Chipkartensy­ stems, bei der zur Freischaltung einer Anwender­ chipkarte ein von dessen Betriebssystem für die Ausführung von Anwenderbefehlsanweisungen benötig­ ten Freigabedatensatzes in den nichtflüchtigen Speicher geladen wird.
Das erfindungsgemäße Chipkartensystem verfügt prinzipiell über zwei Typen von Chipkarten. Zum einen sind sogenannte An­ wenderchipkarten AKn in der Regel in einer sehr großen Viel­ zahl vorhanden. Im Beispiel der Fig. 1 sind einige davon rechts oben aufgefächert dargestellt, wobei zur weiteren Er­ läuterung auf die im Vordergrund dargestellte Anwenderchip­ karte AKi Bezug genommen wird. Erfindungswesentlich ist ein weiterer Chipkartentyp vorhanden, welcher die Funktion einer Freischaltkarte hat und im Folgenden als sogenannte Lizenz­ karte bezeichnet werden soll. Von diesem Chipkartentyp sind naturgemäß nur sehr wenige im Besitz von ausgewählten, beson­ ders legitimierten Personen. Möglicherweise ist sogar nur eine einzige derartige Karte im Umlauf. Im Beispiel der Fig. 1 ist eine derartige Lizenzchipkarte LK links oben darge­ stellt.
Vorteilhaft sind alle Karten des Chipkartensystems hardware­ mäßig identisch, und unterscheiden sich in der Art des je­ weils ausführbaren Anwenderprogrammes. Hierdurch wird die Herstellung der Chipkarten des Systems erheblich vereinfacht. Dementsprechend verfügen im Beispiel der Fig. 1 sowohl die Anwenderchipkarten AKi als auch die beispielhaft eine Lizenz­ chipkarte LK über die gleichen Hardwareelemente. Diese sind jeweils im wesentlichen ein interner Prozessor P, ein nicht­ flüchtiger Speicher S zumindest zur Aufnahme für ein Be­ triebssystem des Prozessors P, eine Schnittstelle DS zum Da­ tenaustausch mit einer Schreib-Lesestation AKG, welche z. B. in Form eines Kontaktfeld zum berührungsbehafteten Datenaus­ tausch oder in Form einer Antenne zum berührungslosen Daten­ austausch ausgeführt sein kann, und chipkarteninterner Daten­ bus DS.
Gemäß der Erfindung sind die Anwenderchipkarten AKn so or­ ganisiert, daß deren Prozessor P jeweils erst nach einer Freischaltung Anwenderbefehlsanweisungen ausführen kann, wäh­ rend im nichtflüchtigen Speicher S der zumindest einen Li­ zenzkarte LK eine begrenzbare Anzahl von freischaltbaren An­ wenderchipkarten AKn verwaltbar ist. Schließlich verfügt das erfindungsgemäße Chipkartensystem über mindestens eine Schreib-Lesestation AKG für Chipkarten LK bzw. AKn, worüber in einer Anwenderchipkarte AKi die Freischaltung des internen Prozessors P wirkt wird, wenn im Speicher S der Lizenzkarte LK die maximale Anzahl der freischaltbaren Anwenderchipkarten Akn noch nicht erschöpft ist. Nach einer erfolgreichen Frei­ schaltung wird im Speicher S der Lizenzchipkarte LK wiederum mit Hilfe der Schreib-Lesestation AKG eine Dekrementierung der Anzahl freischaltbarer Anwenderchipkarten Akn bewirkt.
Zum Datenaustausch zwischen einer Lizenzchipkarte LK und einer aktuell zu bearbeitenden Anwenderchipkarte AK müssen beide Chipkarten z. B. bei einer berührungslosen Datenüber­ tragung in den Sendebereich der Schreib-Lesestation AKG ge­ bracht werden. Bei einem berührungsbehafteten Datenaustausch kann es notwendig sein, die Chipkarten u. U. sukzessive mehr­ mals abwechselnd in die Schreib-Lesestation AKG einzuführen und wieder zu entnehmen. Bei der in Fig. 1 dargestellten Ausführung weist die Schreib-Lesestation AKG beispielsweise zwei Kartenleseeinheiten auf. Die erste Kartenleseeinheit KL1 dient zur Aufnahme der Lizenzchipkarte LK, während die zweite Kartenleseeinheit KL2 zur Aufnahme einer Anwenderchipkarte AKi dient. In einem solchen Fall ist für eine Freischaltung einer Anwenderchipkarte vorteilhaft kein Wechsel von Chip­ karten notwendig.
Bei einer bevorzugten Ausführungsform der Erfindung wird vom Prozessor P einer Anwenderchipkarte AKi zur Auslösung einer Freischaltung zunächst eine Zufallszahl Z erzeugt und mittels der Schreib-Lesestation AKG an die Lizenzchipkarte LK über­ tragen. Ein derartiger Fall ist im Beispiel der Fig. 1 mit Hilfe von gekrümmten Pfeilen dargestellt, welche die jewei­ lige Richtung des Datenüberganges zwischen der Datenschnitt­ stelle DS der jeweiligen Chipkarte und der Schreib-Lesesta­ tion AKG anzeigen. So wird eine Zufallszahl Z von der Anwen­ derchipkarte AKi über die Kartenleseeinheit KL2 gelesen, und mittels der in den Speicher S der Lizenzchipkarte LK geladen.
Vom Prozessor P der Lizenzchipkarte LK wird dann für den Fall, daß die Anzahl der im nichtflüchtigen Speicher S ent­ haltenen, freischaltbaren Anwenderchipkarten Akn noch nicht erschöpft ist, eine von der jeweiligen Zufallszahl abhängige Freigabekennung FDi(Z) generiert, über die Kartenleseeinheit KL1 in die Schreib-Lesestation AKG geladen und schließlich über die Kartenleseeinheit KL2 in die Anwenderchipkarte AKi rückgeschrieben. Vom Prozessor P der Anwenderchipkarte AKi wird die Freigabekennung FDi auf Korrespondenz mit der Zu­ fallszahl überprüft und bei positivem Ausgang der Prüfung eine Aktivierung des gesamten Satz zulässiger Anwenderbe­ fehlsanweisungen bewirkt. Für den Fall, daß die Anzahl frei­ gebbarer Anwenderchipkarten verbraucht ist, wird von der Li­ zenzchipkarte entweder kein Freigabekennung oder eine ungül­ tige, d. h. in z. B. einer unzulässigen Weise mit der Zufalls­ zahl verknüpfte Freigabekennung an die anfordernde Anwender­ chipkarte übermittelt.
Bei dieser Ausführung der Erfindung aktivieren sich somit die Anwenderchipkarten AKn nach erfolgreichem Empfang einer zu­ lässigen Freigabekennung selbst.
Die Erfindung weist somit den doppelten Vorteil auf, daß An­ wenderchipkarten einerseits vor einer Freischaltung voll­ kommen unbrauchbar sind, und andererseits die Freischaltung von Anwenderchipkarten mit Hilfe des Systems der Lizenzchip­ karte in einem eng begrenzbaren Rahmen genau überwachbar ist.
Bei einer anderen Ausführung des erfindungsgemäßen Chipkar­ tensystems erfolgt die Freischaltung einer Anwenderchipkarte AKi durch Übertragung eines vom Betriebssystem für die Aus­ führung von Anwenderbefehlsanweisungen benötigten Freigabe­ datensatzes in den nichtflüchtigen Speicher der Anwender­ chipkarte AKi über die Schreib-Lesestation AKG. In diesem Fall sind die Anwenderchipkarten nicht in der Lage, sich selbst zu aktivieren. Vielmehr wird der Freigabedatensatz für die Erreichung der vollen Funktionsfähigkeit zwingend benö­ tigt.
In diesem Fall wird vom Prozessor P einer Anwenderchipkarte AKi zur Auslösung einer Freischaltung vorteilhaft wiederum zunächst eine Anforderung auf Übermittlung eines Freigabeda­ tensatzes FDi mittels der Schreib-Lesestation AK an die Li­ zenzchipkarte (LK) übertragen. Vom Prozessor P der Lizenz­ chipkarte LK wird dann für den Fall, daß die Anzahl frei­ schaltbarer Anwenderchipkarten AKn im nichtflüchtigen Spei­ cher S noch nicht erschöpft ist, ein Freigabedatensatz FDi abgerufen bzw. generiert und wiederum mittels der Schreib- Lesestation AKG an die Anwenderchipkarte AKi übertragen. Dieser wird vom Prozessor P der Anwenderchipkarte AKi schließlich zur Ermöglichung des Betriebs des gesamten Satzes zulässiger Anwenderbefehlsanweisungen des Betriebssystems in den zumindest das Betriebssystem der Anwenderchipkarte AKi enthaltenden nichtflüchtigen Speicher S ordnungsgemäß einge­ bunden.
Bei diese Ausführung der Erfindung ist die Sicherheit gegen­ über unzulässigen Manipulationen weiter verbessert, da die Anwenderchipkarten ohne einen gegebenenfalls zusätzlich auf die jeweilige Anwenderchipkarte individualisierte Freigabe­ datensatz datentechnisch keinesfalls funktionsfähig sind und somit auch nicht in einer unbefugten Weise freigeschaltet werden können.
Diese Ausführung des erfindungsgemäßen Chipkartensystems wird nachfolgend unter Heranziehung des Beispieles von Fig. 2 näher erläutert. Dabei dient als Freigabedatensatz bevorzugt eine betriebssystemspezifische Kommandotabelle KTB im nicht­ flüchtigen Programmspeicher S des Prozessors dient, womit die Zuordnung adr 1 . . . adr k . . . adr n von Anwenderbefehlsanwei­ sungen AWB x zu den diese jeweils ausführenden Teilen des Be­ triebssystems BSC der Anwenderchipkarte AKi hergestellt wird.
Darüber hinausgehend kann es vorteilhaft sein, wenn der in­ terne Prozessor P und ein zur Aufnahme eines Betriebssystems zum Betrieb des Prozessors P, und hierüber wiederum gegebe­ nenfalls weiterer Funktionselemente der Anwenderchipkarte, wie z. B. Energieversorgung, Datenschnittstelle zum Austausch von Daten zwischen der Chipkarte und externen Schreib- und Lesestationen u. dgl., dienender nichtflüchtigter Programm­ speicher S so aufeinander abgestimmt, daß die Anwenderchip­ karte nach ihrer Herstellung nur eine Befehlsanweisung aus­ führen kann, wenn sie erstmalig mit einer Schreib-Lesestation in datentechnische Verbindung gebracht wird. Diese Befehls­ anweisung bewirkt das Nachladen einer betriebssystemspezi­ fischen Kommandotabelle in den nichtflüchtigen Speicher des Prozessors. Erst nach erfolgreicher Beendigung dieser Lade­ operation ist eine Zuordnung von weiteren, insbesondere über externe Schreib-Lesestationen der Anwenderchipkarte zugeführ­ ten Anwenderbefehlsanweisungen zu den für deren Ausführung vorgesehenen, jeweiligen Betriebssystemteilen möglich. Die Ausführung der für eine ordnungsgemäße Funktionsfähigkeit der Anwenderchipkarte gehörigen Befehlsanweisungen in Bezug auf alle während der Normalnutzung maximal möglichen Operationen ist somit erst nach Einbindung der Kommandotabelle möglich.
Diese Ausführung bietet den Vorteil, daß u. U. auch sehr große Mengen frisch hergestellter Anwenderchipkarten nahezu voll­ kommen unbrauchbar sind. Die Ermöglichung der Gebrauchsfer­ tigkeit erfolgt vielmehr separat für jede einzelne Chipkarte meist erst unmittelbar vor deren Übergabe an den berechtigten Endbenutzer. Neu hergestellte Chipkarten, in deren nicht­ flüchtigem Speicher bzw. anderen Speicherbereichen zwar die Codierung der aufeinanderfolgenden Betriebssystembefehls­ anweisungen geladen ist, sind deswegen nicht funktionsfähig, weil aufgrund der fehlenden Kommandotabelle eingehende Anwen­ derbefehlsanweisungen nicht identifiziert und der bzw. die zu deren Ausführung benötigten Betriebssystemteile wegen der nicht vorhandenen, dazugehörigen Verzweigadressen nicht akti­ viert werden können. Praktisch ist es mit vernünftigem Zeit- und Mittelaufwand nahezu nicht möglich, in der Art eines Reverse-Engineering die funktionelle Struktur des Betriebs­ systems so zu rekonstruieren, daß die zur Ausführung einzel­ ner Anwenderbefehlsanweisung gehörigen Teile und deren mög­ liche Wechselwirkungen in Form von Einsprungadressen zu­ gänglich werden.
Die Gestaltung einer Anwenderchipkarte gemäß dieser Ausfüh­ rung der Erfindung bietet den Vorteil, daß die Chipkarte vor deren Autorisierung durch Nachladen der Kommandotabelle meist unmittelbar vor Übergabe in den Herrschaftsbereich des neuen Besitzers nahezu gegen jede Art von unbefugtem Gebrauch ge­ schützt ist, ohne daß aufwendige Maßnahmen im Hard- oder Softwarebereich der Chipkarte vorgesehen werden müßten, welche die Herstellung der Chipkarte verteuern und deren Ge­ brauchsfähigkeit möglicherweise einschränken würden. Einer­ seits ist auf einfache Weise möglich, die Chipkarte zur alleinigen Ausführbarkeit des Ladebefehls für die Kommando­ tabelle zu ertüchtigen. Andererseits bereitet das Nachladen der Kommandotabelle datentechnisch für eine befugterweise im Besitz des Codes der Kommandotabelle befindliche Einrichtung, wie z. B. eine Bank, keinerlei Probleme. Bei diesem Vorgang können bei Bedarf gleichzeitig auch beliebige weitere, die jeweilige Chipkarte z. B. bezüglich des neuen Benutzers indi­ vidualisierende Daten übertragen werden.
Neben der Verhinderung unbefugter Benutzung von Anwenderchip­ karten vor deren Übergabe in den normalen Gebrauch wird durch die Erfindung auch unterbunden, daß in dieser Zwischenphase in den bei der Herstellung auf die Anwenderchipkarten aufge­ brachten Programmcode selbst, insbesondere der Code des Be­ triebssystems, in unbefugter Weise Einsicht genommen bzw. dieser unbefugt oder unprofessionell verändert wird.
Zur Erläuterung ist auf der rechten Seite der Fig. 2 bei­ spielhaft in anschaulicher Tabellenform ein Ausschnitt aus der Sequenz der aufeinanderfolgenden Anweisungen eines Be­ triebssystemcodes BSC dargestellt. Dabei ist gedanklich die Tabelle sowohl nach oben als auch nach unter fortzusetzen. Der Ausschnitt zeigt beispielhaft eine vorangehende Ein­ sprungadresse adr k-1 und eine darauf folgende Einsprung­ adresse adr k. Die einer dieser Einsprungsadressen zugeord­ nete Zeile des Betriebssystembefehlscodes und die bis zur nächsten Einsprungadresse darauf folgenden Zeilen des Be­ triebssystembefehlscodes bilden eine Gruppe, welche die Aus­ führung eines bestimmten Anwenderkommandos bewirkt.
Im Beispiel der Fig. 2 wird der Anwenderchipkarte ein ak­ tuelles Anwenderkommando AWB x bevorzugt von einer externen Schreib-Lesestation zugeführt. Dieses soll vom Betriebssystem ausgeführt werden. Hierzu wird eine Kommandotabelle KTB be­ nötigt, welche quasi einen den Zugang zu den funktionellen Teileinheiten des Betriebssystems BSC ermöglichenden Schlüs­ sel darstellt. Beispielhaft besteht jede Zeile der Kommando­ tabelle KTB aus einem ersten Codeteil bic k, welcher zur Interpretation, d. h. zur Erkennung des Typs, des aktuellen Anwenderkommandos AWB x dient, und aus einem zweiten Codeteil adr k, welcher die Startadresse der dazugehörigen Betriebs­ systembefehlssequenz enthält. Die Kommandotabelle KTB besteht somit aus einer ersten Teiltabelle BIT, welche die zur Be­ fehlsinterpretation dienenden Codes bic 1, bic 2, bic 3 . . . bic k . . . bic n-1, bic n enthält, und aus einer zweiten Teil­ tabelle BSC, welche die dazugehörigen Einsprungsadressen adr 1, adr 2, adr 3 . . . adr k . . . adr n-1, adr n der entsprechen­ den Betriebssystemsequenzen enthält.
Bei dem in der Fig. 2 dargestellten Beispiel wird ein mit AWB x bezeichnetes Anwenderkommando der Anwenderchipkarte zugeführt. Dieses wird durch die Codierung bic k als zuläs­ siger Befehl erkannt, was in der Figur durch eine strich­ lierte Linie auf der linken Seite der Kommandotabelle KTB dargestellt ist. Nun wird die dazugehörige Einsprungadresse adr k aktiviert und hierdurch der Code des Betriebssystems BSC von Beginn bei der Einsprungadresse adr k an ausgeführt. In der Figur ist der Aufruf der zum Anwenderkommando AWB x gehörenden Betriebssystemsequenz durch einen von der ent­ sprechenden Zelle der Kommandotabelle KTB bis zur Einsprung­ adresse adr k verlaufenden Pfeil SBS dargestellt. Es ist zu erkennen, daß ohne die Brückenfunktion einer Kommandotabelle KTB kein Anwenderkommando AWB x ausführbar ist, da keine Zu­ ordnung desselben zu dem dazugehörigen Teil des Betriebs­ systems möglich ist. Diese erfindungsgemäße Ausgestaltung einer Anwenderchipkarte stellt somit einen außerordentlich wirksamen Schutz gegen unbefugte Benutzung frisch herge­ stellter Chipkarten dar.
Schließlich kann der Datenaustausch zwischen einer Anwender­ chipkarte AKi und der Lizenzchipkarte (LK mittels der Schreib-Lesestation AKG) vorteilhaft in einer kryptologisch verschlüsselten Form erfolgen.

Claims (7)

1. Chipkartensystem, dessen Chipkarten (AK, LK) jeweils min­ destens einen internen Prozessor (P) und einen nicht­ flüchtigen Speicher (S) zumindest für ein Betriebssystem des Prozessors (P) aufweisen, mit
  • 1.1 einer Vielzahl von Anwenderchipkarten (AKn), deren Prozessor (P) jeweils erst nach einer Freischaltung Anwenderbefehlsanweisungen ausführen kann,
  • 1.2 zumindest einer Lizenzchipkarte (LK), in deren nichtflüchtigen Speicher (S) eine begrenzbare An­ zahl von freischaltbaren Anwenderchipkarten (AKn) verwaltbar ist, und mit
  • 1.3 mindestens einer Schreib-Lesestation (AKG) für Chipkarten (LK), worüber
    • 1.3.1 in einer Anwenderchipkarte (AKi) die Frei­ schaltung des internen Prozessors (P) wirkt wird, wenn im Speicher (S) der Lizenzchip­ karte (LK) die Anzahl der freischaltbaren Anwenderchipkarten (Akn) noch nicht erschöpft ist, und
    • 1.3.2 im Speicher (S) der Lizenzchipkarte (LK) eine Dekrementierung der Anzahl freischaltbarer Anwenderchipkarten (Akn) bewirkt wird.
2. Chipkartensystem nach Anspruch 1, wobei die mindestens eine Lizenzchipkarte (LK) und die Anwenderchipkarten (AKn) hardwaremäßig identisch sind.
3. Chipkartensystem nach Anspruch 1 oder 2, wobei
  • 3.1 vom Prozessor (P) einer Anwenderchipkarte (AKi) zur Auslösung einer Freischaltung zunächst eine Zu­ fallszahl erzeugt und mittels der Schreib-Lese­ station (AKG) an die Lizenzchipkarte (LK) über­ tragen wird,
  • 3.2 vom Prozessor (P) der Lizenzchipkarte (LK) für den Fall, daß die Anzahl freischaltbarer Anwenderchipkarten (Akn) im Speicher (S) noch nicht erschöpft ist, eine von der jeweiligen Zufallszahl abhängige Freigabekennung (FDi) generiert und mit­ tels der Schreib-Lesestation (AKG) an die Anwender­ chipkarte (AKi) übertragen wird, und
  • 3.3 vom Prozessor (P) der Anwenderchipkarte (AKi) die Freigabekennung (FDi) auf Korrespondenz mit der Zufallszahl überprüft und bei positivem Ausgang der Prüfung eine Aktivierung des gesamten Satz zulässi­ ger Anwenderbefehlsanweisungen bewirkt wird.
4. Chipkartensystem nach einem der Ansprüche 1 oder 2, wobei die Freischaltung einer Anwenderchipkarte (AKi) durch Übertragung eines vom Betriebssystem für die Aus­ führung von Anwenderbefehlsanweisungen benötigten Frei­ gabedatensatzes in den nichtflüchtigen Speicher der An­ wenderchipkarte (AKi) über die Schreib-Lesestation (AKG) erfolgt.
5. Chipkartensystem nach Anspruch 3, wobei
  • 5.1 vom Prozessor (P) einer Anwenderchipkarte (AKi) zur Auslösung einer Freischaltung zunächst eine Anfor­ derung auf Übermittlung eines Freigabedatensatzes (FDi) mittels der Schreib-Lesestation (AKG) an die Lizenzchipkarte (LK) übertragen wird,
  • 5.2 vom Prozessor (P) der Lizenzchipkarte (LK) für den Fall, daß die Anzahl freischaltbarer Anwenderchip­ karten (AKn) im Speicher (S) noch nicht erschöpft ist, ein Freigabedatensatz (FDi) generiert und mit­ tels der Schreib-Lesestation (AKG) an die Anwender­ chipkarte (AKi) übertragen wird, und
  • 5.3 vom Prozessor (P) der Anwenderchipkarte (AKi) der Freigabedatensatz zur Aktivierung des gesamten Satzes an zulässigen Anwenderbefehlsanweisungen des Betriebssystems in den zumindest das Betriebssystem der Anwenderchipkarte (AKi) enthaltenden nicht­ flüchtigen Speicher (S) für geladen wird.
6. Chipkartensystem nach Anspruch 4 oder 5, wobei als Frei­ gabedatensatz eine betriebssystemspezifische Kommando­ tabelle (KTB) im nichtflüchtigen Programmspeicher des Prozessors dient, womit die Zuordnung (adr 1 . . . adr k . . . adr n) von Anwenderbefehlsanweisungen (AWB x) zu den diese jeweils ausführenden Teilen des Betriebssystems (BSC) der Anwenderchipkarte (AKi) hergestellt wird.
7. Chipkartensystem nach einem der vorangegangenen An­ sprüche, wobei der Datenaustausch zwischen einer Anwen­ derchipkarte (AKi) und der Lizenzchipkarte (LK) mittels der Schreib-Lesestation (AKG) in einer kryptologisch verschlüsselten Form erfolgt.
DE19508722A 1995-03-10 1995-03-10 Lizenzkartengesteuertes Chipkartensystem Withdrawn DE19508722A1 (de)

Priority Applications (5)

Application Number Priority Date Filing Date Title
DE19508722A DE19508722A1 (de) 1995-03-10 1995-03-10 Lizenzkartengesteuertes Chipkartensystem
AT96904753T ATE171000T1 (de) 1995-03-10 1996-03-07 Lizenzkartengesteuertes chipkartensystem
PCT/DE1996/000422 WO1996028793A2 (de) 1995-03-10 1996-03-07 Lizenzkartengesteuertes chipkartensystem
DE59600545T DE59600545D1 (de) 1995-03-10 1996-03-07 Lizenzkartengesteuertes chipkartensystem
EP96904753A EP0813722B1 (de) 1995-03-10 1996-03-07 Lizenzkartengesteuertes chipkartensystem

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19508722A DE19508722A1 (de) 1995-03-10 1995-03-10 Lizenzkartengesteuertes Chipkartensystem

Publications (1)

Publication Number Publication Date
DE19508722A1 true DE19508722A1 (de) 1996-09-12

Family

ID=7756354

Family Applications (2)

Application Number Title Priority Date Filing Date
DE19508722A Withdrawn DE19508722A1 (de) 1995-03-10 1995-03-10 Lizenzkartengesteuertes Chipkartensystem
DE59600545T Expired - Lifetime DE59600545D1 (de) 1995-03-10 1996-03-07 Lizenzkartengesteuertes chipkartensystem

Family Applications After (1)

Application Number Title Priority Date Filing Date
DE59600545T Expired - Lifetime DE59600545D1 (de) 1995-03-10 1996-03-07 Lizenzkartengesteuertes chipkartensystem

Country Status (4)

Country Link
EP (1) EP0813722B1 (de)
AT (1) ATE171000T1 (de)
DE (2) DE19508722A1 (de)
WO (1) WO1996028793A2 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004088569A2 (fr) * 2003-03-17 2004-10-14 Oberthur Card Systems S.A. Procede de communication entre diverses entites electroniques
EP2105892A1 (de) 2008-03-28 2009-09-30 Incard SA Vorrichtung und Verfahren zur Initialisierung einer IC-Karte

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2848364B1 (fr) * 2002-12-09 2005-03-11 Oberthur Card Syst Sa Procede de personnalisation securisee d'un objet

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3041393C2 (de) * 1980-11-03 1984-05-17 Stockburger, Hermann, 7742 St Georgen Verfahren zum Erstellen einer vorgegebenen Anzahl von ein Speichermedium aufweisenden Berechtigungskarten
DE4115152A1 (de) * 1991-05-08 1992-11-12 Gao Ges Automation Org Datenschuetzende mikroprozessorschaltung fuer tragbare datentraeger, beispielsweise kreditkarten

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6356785A (ja) * 1986-08-28 1988-03-11 Toshiba Corp 携帯可能記憶媒体処理装置
GB8827288D0 (en) * 1988-11-22 1988-12-29 Byron R S Articles to be worn
DE4034783C2 (de) * 1990-11-02 1994-03-03 Duerrwaechter E Dr Doduco Zugangskontrollvorrichtung
GB9212266D0 (en) * 1992-06-10 1992-07-22 Racal Datacom Ltd Access control
JP2935613B2 (ja) * 1992-10-15 1999-08-16 沖電気工業株式会社 Icカードおよびicカードシステム
JPH0744672A (ja) * 1993-07-28 1995-02-14 Oki Electric Ind Co Ltd Icカード及びicカードシステム

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3041393C2 (de) * 1980-11-03 1984-05-17 Stockburger, Hermann, 7742 St Georgen Verfahren zum Erstellen einer vorgegebenen Anzahl von ein Speichermedium aufweisenden Berechtigungskarten
DE4115152A1 (de) * 1991-05-08 1992-11-12 Gao Ges Automation Org Datenschuetzende mikroprozessorschaltung fuer tragbare datentraeger, beispielsweise kreditkarten

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004088569A2 (fr) * 2003-03-17 2004-10-14 Oberthur Card Systems S.A. Procede de communication entre diverses entites electroniques
WO2004088569A3 (fr) * 2003-03-17 2004-12-09 Oberthur Card Syst Sa Procede de communication entre diverses entites electroniques
US9002325B2 (en) 2003-03-17 2015-04-07 Oberthur Technologies Method of communicating between different electronic entities
EP2105892A1 (de) 2008-03-28 2009-09-30 Incard SA Vorrichtung und Verfahren zur Initialisierung einer IC-Karte
US8191790B2 (en) 2008-03-28 2012-06-05 Incard S.A. Apparatus and method for initializing an IC card

Also Published As

Publication number Publication date
EP0813722A2 (de) 1997-12-29
EP0813722B1 (de) 1998-09-09
DE59600545D1 (de) 1998-10-15
WO1996028793A2 (de) 1996-09-19
ATE171000T1 (de) 1998-09-15
WO1996028793A3 (de) 1997-01-03

Similar Documents

Publication Publication Date Title
DE69835879T2 (de) Multifunktionschipkarte mit delegierungsmerkmal
DE69823649T2 (de) Multi-anwendungs ic-kartensystem
DE19536169A1 (de) Multifunktionale Chipkarte
DE2512902A1 (de) System zur uebertragung von daten mit hilfe eines unabhaengigen tragbaren gegenstandes und einer autonomen registriervorrichtung
DE3807997A1 (de) Ic-karte mit interner fehlerpruefung
DE69821545T2 (de) Elektronische Geldkarte, Empfangs-/Auszahlungsmaschine für elektronisches Geld und Editiervorrichtung für eine elektronische Geldkarte
WO1997001147A2 (de) Verfahren zur vereinfachung der kommunikation mit chipkarten
DE3318101A1 (de) Schaltungsanordung mit einem speicher und einer zugriffskontrolleinheit
DE1499687B2 (de) Speicherschutz-einrichtung
DE3809795C2 (de)
EP0813723B1 (de) Chipkarte mit geschütztem betriebssystem
EP1196902B1 (de) Verfahren zum betreiben eines zur ausführung von nachladbaren funktionsprogrammen ausgebildeten datenträgers
EP0224639A1 (de) Verfahren zum Kontrollieren eines Speicherzugriffs auf einer Chipkarte und Anordnung zur Durchführung des Verfahrens
EP0813722B1 (de) Lizenzkartengesteuertes chipkartensystem
DE10048939B4 (de) Bedingte Unterdrückung der Überprüfung eines Karteninhabers
EP1634252B1 (de) Verfahren zum laden von tragbaren datenträgern mit daten
EP0977160B1 (de) Verfahren und Datenverarbeitungsanordnung zum gesicherten Ausführen von Befehlen
EP0818749A2 (de) Verfahren und System zum Sichern von Daten
DE60220020T2 (de) Biometrisches identifikations- oder authentifikationssystem
EP2740070B1 (de) Mechanismus zur kommunikation zwischen zwei applikationen auf einem sicherheitsmodul
EP1308842A2 (de) Verfahren und Vorrichtung zur Verwaltung eines Datenspeichers
DE102021000603A1 (de) Chip-Initialisierung mit Betriebssystemladen
DE102005027709A1 (de) Verfahren zum Betreiben eines tragbaren Datenträgers
EP0329966A1 (de) Verfahren zum Sichern von in einem Datenspeicher abgelegten geheimen Codedaten und Schaltungsanordnung zur Durchführung des Verfahrens
EP1922618A1 (de) Verfahren zum ausführen einer folge von gleichartigen kommandos in einem tragbaren datenträger

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8139 Disposal/non-payment of the annual fee